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© Verfahren zur sicheren Verteilung von Software 

© Die Erfindung betrifft ein Verfahren zur sicheren Vertei- 
lung von Daten und/oder Programmen, wobei die zu 
ubertragenden Daten mit einer elektronischen Unter- 
schrift versehen werden. Diese elektronische Unterschrift 
wird in der die Daten und/oder Programme enthaltenden 
Stelle uberpruft, indem eine modulare Multiplikation aus- 
gefuhrt wird, wozu eine Multiplikation und eine Division 
erforderlich ist. GemaR der Erfindung wird zur Uberpru- 
fung der Unterschrift in der die Daten und/oder Program- 
me erhaltenen Stelle eine modulare Multiplikation nach 
Montgomery durchgefuhrt, bei der eine zusatzliche Multi- 
plikation mit einem Faktor auf der Grundlage der Basis 2 
und geradzahligen Exponenten durchgefuhrt wird. 
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Beschreibung 



Die Erfindung bctrifft cin Vcrfahrcn zur sichcrcn Vcrtci- 
lung von Daien und/oder Programmen nach dem Oberbe- 
griff des Anspruchs 1 . 5 

Verfahren zur Verteilung von Software SW von einer aus- 
gebenden Stelle an eine groBe Anzahl von gleichartigen Ter- 
minals bzw. an Chipkarten finden insbesondere durch die 
Moglichkeiten der Datenferniibertragung immer mehr Ver- 
wendung. Die ausgebende Stelle erzeugt eine elektronische 10 
Unterschrift der Software SW mit Hilfe eines Public-Key 
Verfahrens, um die Authentizitat der Software SW sicherzu- 
stellen. 

Dafur bercchnet die herausgebende Stelle nach cincm all- 
gemein bekannten Verfahren ein Zertifikat M der zu unter- 15 
schreibenden Software SW, welches neben anderen Daten 
vor allem cincn von der Software abhangigen Hash-Wert 
H(SW) enthalt. Hierbei ist H(SW) ein offentlich bekanntes 
Hash- Verfahren. Die herausgebende Stelle verschlusselt das 
Zertifikat M mit ihrem privaten Schliissel D. Das Ergebnis 20 
dieser Verschlusselung ist die elektronische Unterschrift S. 
Die herausgebende Stelle sendet die Software SW zusam- 
men mit der Unterschrift S an das Terminal oder die Chip- 
karte. Dort wird aus der Unterschrift S mit Hilfe des offent- 
lichen Schlussels E = D~* der herausgebenden Stelle der 25 
Wert M des erzeugten Zertifikates berechnet. Ferner berech- 
net das Terminal bzw. die Chipkarte, d. h. die empfangende 
Stelle den Hash-Wert H(SW) der Software SW und priift, ob 
H(SW) in dem Zertifikat M korrekt eingetragen ist. Wenn 
dies der Fall ist, akzeptiert die empfangende Stelle die Soft- 30 
ware SW, andcrnfalls wcist sic die Software SW zuriick. 

Das bekannteste Public- Key Verfahren zur Erzeugung 
von elektronischen Unterschriften ist das RS A- Verfahren. 
Eine Variante des RS A- Verfahrens ist das Verfahren von Ra- 
bin oder eine Variante des Rabin- Verfahrens nach Williams. 35 

Die ausgebende Stelle wahlt zufallig zwei Primzahlen P = 
3 mod 8 und Q = 7 mod 8. Diese stellen den privaten Schliis- 
sel von der ausgebenden Stelle dar. Der ofTentliche Schliis- 
sel ist der Wert N = P • Q. Zuin Untcrschreiben einer Nach- 
richt M berechnet die ausgebende Stelle die Unterschrift 40 

S = M m mod (P • Q). 

Die empfangende Stelle kann die Unterschrift verifizie- 
ren, indem sie 45 

M = S 2 mod N 



M = 0, N-M = 1, M/2 = 2, M-N/2 = 3 (mod 4) 

d. h. die vier Zahlen M, N-M, M/2 und N-M/2 unterscheiden 
sich in den letzten beiden Binarstellen. 

Zum Unterschreiben einer Nachricht M priift die ausge- 
bende Stelle zunachst, welcher der vier Werte M, N-M, N/2 
oder N-N/2 quadratischer Rest mod P und mod Q ist. Dies 
kann effektiv durch Berechnen der Jacobi-Symbole (N/P) 
und (M/Q) erfolgen: 
M' = M falls (M/P) = 1, (M/Q) = 1; 
M' = -M falls (M/P) = -1, (M/Q) = -1; 
M' = M/2 falls (M/P) = -1, (M/Q) = 1; 
M' = -M/2 falls (M/P) = 1, (M/Q) = -1. 

Sei M' derjenige Wert, der beide Bedingungen erfullt. Die 
Unterschrift zu der Nachricht M ist dann: 

S = (M'/ p Q- p -Q +5 V 8 mod N. 

Es gilt also: 

S 2 = M' ■ (M') [(P ' m] * [(Q ' iy21 mod N. 

Da M' quadratischer Rest mod P ist, folgt nach dem klei- 
nen Fennal'schen Satz (M')^ P I)/21 = 1 mod P. Analog gilt 
(M')l(Q-i)/2] = 1 mod Q. Nach dem chinesischen Restsatz 
folgt weiter (M*) IfP " iy2 ' * KQ-W] _ x mod p . q Es gilt aiso 

S 2 = M' mod N = P Q. 

Zum Verifizicren der Unterschrift S berechnet das Termi- 
nal B zunachst den Wert 

M' = S 2 mod N. 

Da sich bci gegebenem M = 4 mod 8 die vier mog lichen 
Werte fur Min den letzten beiden Binarstellen unterschei- 
den, laBt sich M leicht aus M' berechnen: 
M = M* falls M* = 0 mod 4; 
M = N-M' falls M' = 1 mod 4; 
M = 2M' falls M' = 2 mod 4; 
M = 2(N-M') falls M' = 3 mod 4. 

Zum Verifizieren einer Unterschrift auf der Chipkarte 
oder dem Terminal B ist eine modulare Multiplikation erfor- 
derlich; d. h. die empfangende Stelle berechnet: 

M' = S • S mod N. 



berechnet. 

Die Sichcrheit des Rabin- Verfahrens beruht darauf, daB 
das Ziehen der Quadratwurzel einer Zahl modulo einer 
Primzahl (falls eine solche existiert) einfach ist, wahrend 
das Ziehen der Quadratwurzel einer zufallig gewahlten Zahl 
modulo einer zusammengesetzten Zahl rnindestens ebenso 
schwierig ist die Faktorisierung jener zusammengesetzten 
Zahl. 

Nicht jede Zahl ist quadratischer Rest modulo einer Prim- 
zahl P oder Q; auBerdem haben quadratische Rcste mod P 
und Q in der Regel vier Quadratwurzeln. Aufgrund der spe- 
ziellen Wahl von P und Q ist fur jede beliebige Zahl M ge- 
nau eine der vier Zahlen M, N-M, N/2 und N-M/2 quadrati- 
scher Rest mod P und mod Q (Bei ungeradem M wird N/2 
durch (M+N)/2 mod P • Q ersetzt). Diese Aussage folgt aus 
den Erganzungssatzen zum quadratischen Reziprozitatsge- 
setz. 

Fordert man fur die Nachricht M die zusatzliche Bedin- 
gung M = 4 mod 8, so gilt wegen der Beziehung N = P Q = 
3-7 = 5 (mod 8) folgendes: 



Hierzu ist eine Multiplikation und eine Division erforder- 

50 hch. Dabei ist die Division um einiges aufwendiger als die 
Multiplikation. DerNachteil der bekannten Verfahrensweise 
zum Verifizieren einer Unterschrift besteht also darin, daB 
bei der die Software empfangenden Stelle, die ublicherweise 
weniger Rechenkapazitat zur Verfugung hat als die ausge- 

55 bende Stelle, eine vergleichsweise aufwendige Rechenope- 
ration durchfiihren muB. 

Es ist deshalb Aufgabe der Erfindung, ein Verfahren zum 
sichercn Verteilen von Software anzugeben, bei dem obige 
Nachteile vermieden werden. 

60 Ausgehend von den Merkmalen des Oberbegriffs des An- 
spruchs 1 wird diese Aufgabe durch die kennzeichnenden 
Merkmale des Anspruchs 1 gelost. 

Vorteilhafte Ausgestaltungen der Erfindung sind in den 
abhangigen Anspriichen angegeben. 

65 GemaB der Erfindung wird anstelle der iiblichen Stan- 
dardverfahren fur Langzahlarithmetik (Trial Division) ein 
Verfahren nach Montgomery fur die Verifizierung der elek- 
tronischen Unterschrift eingesetzt. Montgomery beschreibt 
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ein schnelleres Verfahren zur modularen Multiplikation, 
welches statt des Produktes Z = X • Y modulo N den folgen- 
den Wert berechnci: 

Z0 = X • Y • L _i mod N. 5 

Hierbei ist L die Basis, beziiglich welcher die Langzahla- 
riihmetik durchgefuhrt wird. Typischerweise wird L = 2 8 bei 
einem 8-Bit Prozessor verwendet, L = 2 16 bei einem 16-Bit 
Prozessor, usw, gewahlt. Der Wert i muB mindestens so groB 10 
sein, daB die Bedingung 

L J >N 

erfullt ist. 15 

Der Vorteil des Montgomery- Verfahrens besteht darin, 
daB der Schritt der "Trial-Division" bei der modularen Mul- 
tiplikation entfallt. Dafur wird zusatzlich mit dem uner- 
wiinschten Faktor L" 1 mod N multipliziert. Die Kompensa- 
tion dieses unerwiinschten Effektes bei der modularen Ex- 20 
ponentiation nach dem RS A- Verfahren kann wie folgt ge- 
schehen: 

Die Berechnung einer RSA-Exponentiation A E mod N wird 
ublicherweise durch wiederholte Anwendung der Potenzge- 
setze A 2 * = A x • A x (mod N) und A 2x+l = (A x • A x ) • A (mod 25 
N) durchgeftihrt. Im ersten Schritt wird X = (E/2) gesetzt, 
und in den Folgeschritten wird X solange durch (X/2) ersetzt 
bis X = 1 gilt; hierbei ist (X) die grofite ganze Zahl < = X. 
Faktisch wird die modulare Exponentiation damit auf eine 
Folge von Quadrierungen und Multiplikationen mit der Ba- 30 
sis A (mod N) zuriickgcfuhrt. 

Bei der modularen Exponentiation mit dem Montgomery- 
Verfahren wird folgendes berechnet: 

AO = (AO ■ (L 2i mod N)) ■ L 1 mod N. 35 

Diese erfordert eine Montgomery-Multiplikation mit dem 
festen Wert L 2i mod N und es gilt AO = A • V mod N. Offen- 
sichtlich gilt: 

40 

A x • A y • L 1 = (A x • V) ■ (A y • V) • V = A x+y • L* mod N. 

Mit Hilfe von (A x ■ V) und (A y ■ U) laBt sich also der 
Wert A x • A y • L 1 durch eine einzige Montgomery-Multipli- 
kation berechnen. Beginnend mit dem Wert AO = A 1 • L 1 laBt 45 
sich durch wiederholtes Quadrieren und Multiplizieren mit 
AO leicht der Wert A E • L l berechnen. Eine weitere Montgo- 
mery Multiplikation des Zwischenergebnisses A E • L 1 mit 1 
liefert das gewunschte Endergebnis A E . 

Bei der modularen Exponentiation mit einem zufallig im 50 
Bereich 1, . . N gewahlten Exponenten entsteht durch eine 
erforderliche Kompensation ein relativ geringer zusatzlicher 
Rechenaufwand. 

Bei einem Software-Download in ein Terminal oder eine 
Chipkarte muB dort die Unterschriftspriifung durchgefuhrt 55 
werden. Da das Terminal in der Regel uber wenig Rechen- 
leistung verfugt, muB die Unterschriftspriifung so einfach 
wie moglich realisiert werden. 

Bei der herkommlichen Kombination der Unterschrifts- 
prufung nach Rabin mit der Montgomery-Multiplikation 60 
wird die Unterschrift S an das Terminal B ubertragen. 

Das Terminal B berechnet: 

M0 = (S • S) • L _i mod N 

M' = (M0 • (L 2i mod N)) L _i mod N. 65 
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muB auBerdem der Wert (L 2 ' mod N) in der empfangenden 
Stelle gespei chert werden. 

GemaB einer vortcilhaften Ausgeslallung der Erfindung, 
wird deshalb folgende Modifikation vorgenommen, welche 
gegenuber dem herkommlichen Verfahren eine Montgo- 
mery-Multiplikation und das Speichern des Wertes (L 21 mod 
N) nicht benougt. Anstelle der Unterschrift S wird die modi- 
fizierre Unterschrift 

S' = S • V 12 mod N 

an die empfangende Stelle ubertragen. Da L bei handelsub- 
lichen Prozessoren eine gerade Zweierpotenz ist, laBt sich 
ly 2 leicht berechnen. Die empfangende Stelle berechnet nun 
nach dem Montgomery- Verfahren den Wert 

(S' • S*) ■ L _i mod N = (S • lY 1 • S ■ L w ) V mod N 
= S 2 mod N = M' mod N. 

Somit erfordert die Unterschriftspriifung nur eine Mont- 
gomery-Multiplikation auf dem Terminal. 

Patentanspriiche 

1. Verfahren zur sicheren Verleilung von Daten und/ 
oder Programmen, wobei die zu ubertragenden Daten 
mit einer elektronischen Unterschrift, vorzugsweise 
nach einem Public-Key- Verfahren crzcugt, versehen 
werden, wobei diese elektronische Unterschrift in der 
die Daten und/oder Programme erhaltenen Stelle uber- 
priift wird und zur Obcrpriifung cine modulare Multi- 
plikation ausgefuhrt wird, wozu eine Multiplikation 
und eine Division erforderlich ist, da durch gekenn- 
zeichnet, daB zur tjberprufung der Unterschrift in der 
die Daten und/oder Programme erhaltenen Stelle der 
Uberpriifung der Unterschrift eine modulare Multipli- 
kation nach Montgomery durchfuhrt, bei der eine zu- 
satzliche Multiplikation mit einem Faktor auf Grund- 
lage der Basis 2 und gcradzahligcn Exponenten durch- 
gefuhrt wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
nete daB in der die Daten und/oder Programme ausge- 
benden Stelle die digitale Unterschrift mit einem aus 
der Montgomery-Multiplikation abgeleiteten Faktor 
multipliziert wird, so daB sich auf der die Daten und/ 
oder Programme erhaltenen Stelle der zusatzliche Mul- 
tiplikationsfaktor herauskiirzl. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, daB die Daten und/oder Programme zu einem 
Chip-Kartcn-Tcrminal oder einer Chipkarte ubertragen 
werden. 



Offensichdich gilt dann M' = S 2 mod N. Dieses Verfahren 
erfordert zwei Montgomery-Multiplikationen mod N und es 
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